Ambito della rete di conformità PCI

Question

Ambito della rete di conformità PCI

#1 da (5 voti)
#2 da (4 voti)

3

Mi chiedevo se qualcuno potesse chiarire l'ambito della conformità PCI rispetto a più reti.

Al momento, esiste una rete PCI conforme alla quale un'altra rete si connette tramite VPN. La rete conforme allo standard PCI archivierà i dati dei clienti e le informazioni della carta di credito.

Ho letto questo articolo che suggerisce che Finché non si memorizzano i numeri delle carte di credito localmente sulla rete dell'ufficio, l'ambito non si estende fino a questo punto. Tuttavia, è la connessione VPN che mi porta a pensare che significherà davvero che anche l'ufficio dovrebbe essere conforme allo standard PCI.

Un dipartimento di grandi dimensioni ha accesso alla VPN (ognuno con il proprio nome utente) ma non ha ancora nessuna delle norme sulla forza e sul rinnovo della password.

Qualcuno è in grado di chiarire la situazione preferibilmente con riferimento ad alcuni documenti ufficiali?

network pci-dss compliance

posta Ben Swinburne 18.07.2012 - 15:49

fonte

2 risposte

Leggi altre domande sui tag network pci-dss compliance

Perdere le chiavi private È sicuro memorizzare il sale insieme alla password hash nel database? [duplicare]

score 5 · Answer 1

Chiamerò la tua rete PCI conforme # 1 e l'altra # 2. Se nessun dato della carta di credito attraverserà la VPN al numero 2, allora non deve essere conforme allo standard PCI. Tuttavia, se qualsiasi sistema che si trova in # 2 dovrà accedere alle informazioni della carta di credito, o sistemi che memorizzano le informazioni della carta di credito, allora dovrebbe essere conforme allo standard PCI.

Onestamente, le regole PCI per la rete sono buone prassi per tutte le parti della rete, non solo per le parti che trattano le informazioni della carta di credito. Autenticazione strong, registrazione, ecc. Dovrebbero essere considerati standard.

score 4 · Answer 2

Vuoi dire che i tuoi sviluppatori possono accedere ai server del database di produzione dalle loro workstation di sviluppo? Sembra qualcosa che non vuoi spiegare in una valutazione PCI ...

Dovresti separare chiaramente i tuoi ambienti di sviluppo e sviluppo. Il sito di produzione dovrebbe consentire solo un accesso chiaramente definito per tutte le persone (- > audit trail), senza dover manipolare database o simili. Se si dispone di un controllo sul posto, sarebbe bene avere le workstation locali correttamente protette (AV, politica delle password ...). Anche se le workstation non sono all'interno dell'ambiente dei dati dei titolari di carta, i QSA tendono ad essere scettici sull'accesso amministrativo.